9月28日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络安全信息报送指南》(下称《指南》)并面向社会公开征求意见,截止日期为11月27日。
信安标委官网
《指南》拟规定,报送网络安全威胁信息时需报送发现时间和威胁情报信息等,接收方则可要求报送方提供其针对威胁已采取的措施、后续计划以及潜在受影响资产情况和危害后果等。
1
报送网络安全威胁信息需披露恶意代码等
去年12月,工业和信息化部发布通报称,某公司发现开源日志框架阿帕奇Log4j2组件存在严重安全漏洞,但其并未将漏洞情况及时上报。通报指出,该漏洞可能导致设备远程受控,引发严重危害,属于高危漏洞。其后,该公司回应称早期发现该漏洞时未意识到其严重性,未及时共享漏洞信息,未来将强化漏洞报告管理。
在发现网络安全漏洞后,企业应该怎么做?《网络产品安全漏洞管理规定》明确,网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,报送内容包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
为了进一步指导和帮助完成网络安全信息报送活动,《指南》拟为该活动中的各参与角色提供具体参考,不仅描述了网络安全信息报送的信息类型、要素、格式规范,还包括网络安全信息报送活动的参与角色、基本流程、报送方式。参与起草有包括高校、研究院及企业等主体在内的共27家单位。
首先,《指南》拟将网络安全信息定义为描述网络安全相关情况的信息,报送的网络安全信息类型包括脆弱性信息、网络安全威胁信息、网络安全事态信息、网络安全事件信息、网络安全态势信息、网络安全资讯、其他信息等。
在报送内容方面,报送网络安全威胁信息应包含时间信息和威胁描述,前者包括网络安全威胁发现时间、报送时间等,后者包括威胁情报信息、恶意代码信息等。同时,接收方还可要求报送方提供措施信息、影响信息、关联信息和佐证材料,其中措施信息指已采取的措施、后续计划等,影响信息指潜在受影响资产情况及危害后果、潜在影响发生可能性、对业务的影响情况等。
与网络安全威胁信息类似,在报送网络安全事件信息时需包括时间信息和事件描述,事件描述指事件类型、详细信息等。接收方其他需求则在接收网络安全威胁信息所需条件的基础上增加了攻击方信息包括攻击方描述、可能的动机等。此外,报送脆弱性信息应包括时间信息和脆弱性描述,接收要求与网络安全威胁信息相同。
如果要报送整体情况,该怎么做?《指南》拟规定,网络安全态势是对一定范围上述报送情况及与网络安全相关的其他情况的整体描述。要报送网络安全态势信息,除了时间信息,还包括空间信息、态势类型、输出信息类型和态势描述。空间信息包括地域、行业等,输出信息类型包括统计指标、分布特点、发展趋势等,还可以采用数据、图表、文字等信息形式描述网络安全态势。
2
接收方可规定信息报送时效性
值得一提的是,《指南》拟规定的报送的网络安全信息类型并非首创,其与全国信息安全标准化技术委员会秘书处去年12月发布的《信息安全技术 网络安全信息共享指南》征求意见稿(下称《信息共享指南》)相关内容存在对应。
《信息共享指南》拟将网络安全信息分为威胁信息、应对措施信息、经验信息、态势信息、其他信息,并明确“可根据共享活动的目的和需要,在以上5个类别下进一步划分子类,确保在特定共享活动中,网络安全信息描述的一致性,提升共享活动的效率和互操作性。”
为明确二者的关系,《指南》拟在附件中披露相关对应情况。《指南》中的脆弱性信息、网络安全威胁信息、网络安全事态信息和网络安全事件信息均对应《信息共享指南》中威胁信息的子类,附加应对措施信息;网络安全态势信息、网络安全资讯对应为《信息共享指南》态势信息的子类。
在报送格式方面,《指南》拟规定,报送的信息应使用可机读形式,可附加非机读内容。接收方则应制定信息报送格式规范,并与报送方取得共识;如果某个报送方不能按照格式要求报送信息,其应向接收方提供明确的信息报送格式说明,其后接收方应设计并实现信息格式转换方法。
另外,《指南》拟强调,在网络安全信息报送活动中,接收方应针对不同类型的信息,分别制定信息报送的时效性规范。为了保证报送信息的安全性,接收方应针对信息报送过程以及报送信息在接收方的存储、处理、使用过程制定安全性规范。上述二者均需接收方与报送方取得共识。
采写:南都记者樊文扬
